WAF製品の比較25選 | 選び方や導入のポイントも解説
本記事で掲載しているWAFや、紹介しきれなかった機能・価格をもっと詳しく比較したい方はこちらからご覧になれます。ぜひツール選定の参考にしてみてください。
自社のWebサイトやシステムをサイバー攻撃から守るためは、総合的なセキュリティの整備が必要不可欠です。そこで役立つのが本記事で紹介する「WAF」というセキュリティです。
そんなWAFってそもそも何かという疑問から、導入のポイント、実際の製品比較まで幅広く紹介していきます。
WAFとは
それではWAFの概要を簡単に紹介します。
下の記事では本記事以上にていねいにWAFを紹介しています。詳しく知りたい方は下の記事をぜひご覧ください。
WAF(Web Application Firewall)とは、ウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。セキュリティの中でもWAFは、Webサイトの運営側と利用者側の間で、ウィルスや不正アクセスを防ぐという特徴があります。
WAFは文字どおり、Webアプリケーションにおいて活躍するセキュリティです。
Webアプリケーションといってもスマホのようなアプリを指すのではなく、いわゆるWebサイトのことをいいます。
Webサイトとユーザー間のぜい弱性につけこんで行われる不正なアクセスなどを、WAFは防ぎます。
では、実際にどのようなWAF製品があるのかでしょうか。
ここからは、よく利用されているWAF製品について見ていきましょう。
【厳選】WAF製品15選
近年導入数が増えているWAFですが、きちんと効果を得るためには最適な製品選びが重要です。
自社に合った製品を見つけるために、タイプによって異なる特徴を理解し、製品の比較ポイントを確認しましょう。
攻撃遮断くん - 株式会社サイバーセキュリティクラウド
画像出典:攻撃遮断くん公式サイト
- 国内トップクラスのシェア
- 低価格・高セキュリティを実現
- 業界で唯一サイバー保険を付帯
攻撃遮断くんは、WebサーバやWebサイトへのサイバー攻撃を遮断し、それらの攻撃などの脅威から企業とユーザーを守ります。最短翌営業日から導入が可能で、保守・運用に一切の手間も必要なく利用できるセキュリティサービスです。
国内トップクラスのシェアを持ち、業界で唯一クラウド型WAFにサイバー保険を付帯しているサービスです。
AIONCLOUD - 株式会社モニタラップ
- 直感的なUIで、シンプルな管理機能
- 世界レベルの脅威情報共有基盤
- 月々4,000円~、圧倒的な低コスト
AIONCLOUDは、累積出荷台数15,000台の実績を誇るクラウド型WAFサービスです。ウェブサイトのトラフィックや訪問回数、受けた攻撃などの詳細なステータスをリアルタイムで監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早い対応で拡大を防止し、脅威を学習することで未知の不正に対してもセキュリティ保護ができます。また、世界40ヵ所のIDCにサービスインフラを保有し、脅威インテリジェントを自動で更新し続けます。
XG Firewall - 株式会社ジャパンコンピューターサービス
- 単一のコンソールですべてのSophos製品を管理
- Intercept Xとのリアルタイム統合が可能
- 大企業から教育機関まであらゆる環境に適応
XG Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。
Deep Security(R) IT Protection Service - 株式会社シーイーシー
画像出典:Deep Security(R) IT Protection Service公式サイト
- オールインワンでセキュリティ対策
- セキュリティ業務の一部委託が可能、自社の負担を軽減
- 最短3営業日で導入可能
Deep Security(R) IT Protection Serviceは、さまざまなセキュリティ対策をオールインワンで対応するクラウドサービスです。セキュリティルールやシグネチャは毎日配信され、最新の脅威に関する情報は毎週自動で生成・配布されます。一部セキュリティ業務を代行するサービスも用意されており、保護対象サーバーの設定やセキュリティ状況の調査、定例オペレーションなど自社の業務負担の軽減が期待できます。また、オプションでオートスケール機能により追加されたサーバーを保護したり、ログやアラート機能の設定も追加可能です。
secuWAF - 株式会社セキュアイノベーション
画像出典:secuWAF公式サイト
- 自動でアップデートされる強力なセキュリティ機能
- WAF以外のセキュリティ対策も搭載
- 一般的なクラウドWAFと比べセキュリティ機能が充実
secuWAFは、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。
Barracuda Web Application Firewall - バラクーダネットワークスジャパン株式会社
画像出典: Barracuda Web Application Firewall 公式サイト
- 短時間でXSS/SQLインジェクション対策完了
- L7 DDoS、IPレピュテーション対策が可能
- 日本語化された見やすいインターフェース
Barracuda Web Application Firewallは、WAFの国内販売台数シェアNo.1の実績を誇るサービスで、構成に合わせて複数の導入方式を選べます。短時間、低価格でWebアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。
マネージドセキュリティサービス for Imperva Incapsula
- 専門アナリストによるアラート分析
- レポートでセキュリティ情報把握
- チューニング設定代行で負荷軽減
マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。
アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。
Cloudbric
- Webサイト保護に必要なすべてのセキュリティ機能を提供
- ユーザーフレンドリーな仕様
- データセンターで管理するため災害にも強い
Cloudbricは、保護されていないWebサイトのためのセキュリティサービスです。セキュリティの専門家やITシステムの管理者でなくても使える直観的なユーザーインターフェースを用意しています。
より安心に保護できる無料SSL証明書の提供を開始し、論理演算基盤のエンジンの採用により、高精度な検知と遮断を実現しています。
リーズナブルな価格で高度なセキュリティソリューションを利用できるサービスです。
SCT SECURE クラウドWAF EXP
- ポリシーチューニングが簡単にできる
- 短期間の急激なアクセス増加にも対応可能
- コンテンツキャッシュ機能
SCT SECURE クラウドWAF EXPは、Webアプリケーションへの攻撃やDDoS攻撃を防ぎます。WAFポリシー推奨機能を搭載しており簡単にポリシーチューニングができます。ネットワークが安定しているので短期間の急激なアクセス増加にも対応可能です。WAF機能に加えコンテンツキャッシュ機能を搭載しているため、Webサーバへの負荷が軽減されます。
AEGIS Security Systems
- NATO指定ベンダーへの供給実績あり
- 工事・運用が不要なクラウドサービス
- オールインワンで幅広い守備範囲を防御
AEGIS Security Systemsは、クラウド型で24時間監視します。クラウドサービスによる防御システムであるため、工事や運用などの作業や追加料金は不要です。独自のノウハウが蓄積されたシグネチャを用いて守備範囲をオールインワンで防御します。
サイト専用型WAF:WAF BENKEI
- サイト別に専用WAFサーバーを構築が可能
- 無料トライアル2週間でお試しが可能
- スモールスタートがしやすいプラン設定
WAF BENKEIとは、サーバ・Webサイトをサイバー攻撃から守るクラウド型WAFセキュリティサービスです。従来からあるセキュリティ対策製品とは違い、ハードウェアやサーバの構築が不要で導入がしやすく、また運用の手間もかからないことが最大の特徴です。防御できるサイバー攻撃は、クロスサイトスクリプティング・SQLインジェクション・ディレクトリトラバーサルなど多彩な手口に対応しています。
シマンテック クラウド型WAF
- 最新のぜい弱性対策を常に反映
- 緊急パッチ対応の軽減
- 明確で安価な利用料金
シマンテック クラウド型WAFは、 SaaS/ASPのサービスで、ウェブアプリケーションファイアウォールの機能を提供しています。SSLサーバ証明書でウェブサイトとの通信を安全に行うようにするだけでなく、情報漏えいを防ぐ手段としてクラウド型のWAFを提供しています。
ウェブサイトセキュリティの強化と予算の平準化というメリットが得られます。
Incapsula(インカプスーラ)
- 強力なボット検知力と動的な攻撃学習能力でWeb攻撃を撃退
- Webのユーザー体験に影響を与えることなくDOS攻撃を排除
- アプリケーションのパフォーマンスを高速化
Incapsulaは、クラウドから高品質のWeb アプリケーション・ファイアウォールを提供しており、Webサイトダウンの機会損失を低減してくれます。PCI DSSレベル1認定を受けたWebアプリケーション・ファイアウォールで、ハッカーやボットを強力に防御します。
また、高品質のコンテンツ・デリバリ・ネットワークが、Web サイトのパフォーマンスを向上させます。
TrustShelter(トラストシェルター)
- セキュリティ専門家によるマネージドサービス
- 要望に合わせた5種類のサービスを用意
- 短時間、低コストでの導入を実現
TrustShelterは、Web不正通信可視化などによりWebサイトをサイバー攻撃から守ります。また、マイナンバーを管理するデータベースやファイルサーバーに対してのセキュリティ対策にも対応可能です。短時間、低コストに加え要望に合わせて5種類のサービスを用意しているため、幅広い対応が可能です。
SiteGuard(サイトガード)
- 専門家が認めた高い防御性能
- チューニング済みの攻撃パターンファイルの標準搭載
- 純国産なので日本語に完全対応
SiteGuardは、Webサイト改ざんやWebアプリケーションのぜい弱性を狙うサイバー攻撃を防御するWAFソフトウェアです。
複数機能を併用してWebサイトの安全性を確保する防御機能と、すべて日本語に対応した管理機能を備えており、ネットワーク環境や要件に合わせて選べる2種類のラインナップを用意しています。
【おすすめ】WAF製品10選
WALLC
- Webアプリケーション層における対策
- OS・ミドルウェアのぜい弱性の確認・セキュリティ対策
- クラウド型/Saas/ASP型の提供
WALLCは、Webアプリケーションのぜい弱性の悪用した攻撃を防御するためのセキュリティ対策ツールです。
Webアプリケーションへの攻撃としてよく挙げられるSQLインジェクションやクロスサイトスクリプティング(XSS)などの脅威に対して、セキュリティ対策可能です。
また、情報漏えいやWeb改ざんなどの脅威からセキュリティ対策可能であり、法人サイトを有している企業におすすめです。
CDN solutions Cloud-WAF
- キャパシティプランニングや高価なWAF専用ハードウェアの導入が不要
- セキュリティを向上しつつWebサイトのパフォーマンスが改善
- アプリケーションレイヤに対する攻撃を防御
CDN solutions Cloud-WAFは、SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなどの攻撃から防御します。PCI DSSの取得要件の一部を満たすことが可能で、1GbpsまでのDDOS対策を標準機能として提供しています。
さらに専用ハードウェアの導入が不要なので時間やコストの削減が実現できます。
SHIELD Webセキュリティ・オンデマンドサービス
- セキュアなWebアクセス環境を実現
- Webサイトに対する攻撃を検知・ブロック
- 30日間のフリートライアルもあり
SHIELDは、Web経由のウイルス/スパイウェア感染予防、サイト閲覧制限を行うSaaS型サービスです。ウイルスからのユーザーの保護や攻撃からのWebサイト自体の保護など、利用目的に沿って2種類の機能が選べます。
SmartCloud
- 自由度の高いサービスの提供
- 長年培ったキャリアグレードの信頼と実績
- ITIL V3をベースとしたライフサイクル・アプローチ
SmartCloudは、「コンサルティング」から「計画策定」「迅速な構築」「確実な移行」「最適な運用」まで、長期に渡りシステムを企業のIT基盤として提供するクラウド・サービスです。基幹システムを搭載可能なエンタープライズ向けクラウド・プラットフォームとして、課題を解決するだけでなく、新たなビジネス価値を創造するクラウド・サービスを提供しています。
スキュータム
- ユーザ認証に関する脅威も防御
- 国内のSaaS型WAF市場シェア連続No.1
- 個人情報/顧客情報の流出・改ざん防止に最適
スキュータムは、SQLインジェクションやクロスサイトスクリプティングに代表されるWebアプリケーションのぜい弱性から顧客を守る、世界初のクラウド型(SaaS型)Webアプリケーションファイアウォール(WAF)サービスです。
小規模サイトからクラウドコンピューティング環境まで柔軟に対応したWebセキュリティが低価格で利用できます。
FortiWeb
- 広範なWAFスループット
- 相関性のある複数の脅威検知メソッドを活用
- 一元化された管理と管理ドメイン(ADOM)
FortiWebは、Webアプリケーションに対する脅威に特化した多層防御機能を提供しています。さらにWebベースのアプリケーションやインターネットを介してやりとりされるデータを攻撃や侵害から保護しており、多数の巧妙な脅威に対する双方向の保護を実現しています。
クラウドWAF セキュリティオペレーションサービス
- 低コスト&カンタン導入でスモールスタートが可能
- 実績豊富なプロ集団による有人監視
- 自社内のオンプレミス環境や他者サービスも一元監視
クラウドWAF セキュリティオペレーションサービスは、DS/IPSやWAFといったセキュリティ監視機器を用いて、Webサイトを24時間365日体制で監視するサービスです。ECサイトの信頼性向上や、複数環境にまたがるグループ各社のWebサイトを一元監視できるというメリットが挙げられます。
Limelight Cloud Security Services
- Webサイトを守る多層防御を実現
- Webサイトへの攻撃阻止によりブランド価値を維持
- 配信コンテンツの保護
Limelight Cloud Security Servicesは、悪意を持った攻撃およびコンテンツへの不正なアクセスからWebサイトを守る多層防御を実現、コンテンツを常時アクセス可能にし、攻撃から保護します。さらに配信コンテンツを保護しWebサイトへの攻撃を阻止することで、ブランド価値を維持します。
InfoCage SiteShell
- Webサーバに直接インストールする「ソフトウェア型WAF」
- クラウド環境や仮想環境にマッチ
- Webサイトへの不正アクセス/情報漏えい事故を防止
InfoCage SiteShellは、通常のファイアウォール、IDS/IPSでは防ぎきれない攻撃からWebサイトなどを守ります。
NECが提供する「 InfoCage SiteShell 」は、Webサーバに直接インストールする「ソフトウェア型WAF」で、クラウド環境や仮想環境にもマッチします。オンプレミス環境だけでなく、クラウド環境にも有効な防御ツールです。
CLEARSWIFT SECURE Web Gateway
- 多様なフィルタリング機能
- 人為的ミスを最小限に抑える
- 独自のアダプティブリダクション搭載(オプション機能)
CLEARSWIFT SECURE Web Gatewayは、細かいポリシー設定が可能なWebの情報漏えい対策ソリューションです。Web経由の情報漏えい対策、ウイルス、スパイウェア対策、URLフィルタリング機能がオールインワンになっています。内容に応じて情報をコントロールし、データ漏えい、法的リスクや組織の評判を落とすリスクを最小限に抑えます。
3つの提供形式
WAF製品が提供される形態にはさまざまな種類があります。代表的な3つのタイプのWAFを紹介します。
自社に合うタイプはどれか、違いを確認しながら最適なタイプを選んでください。
アプライアンス型
アプライアンス型は、ネットワーク上に設置するタイプのWAFです。
アプライアンスとは専用のハードウェアのこと。サーバーの動作環境や台数に関わらず環境構築ができる点が魅力です。大規模であれば、より高いコストパフォーマンスを得られます。
導入には機器の購入と初期設定が必要。他のタイプに比べてコストが高く、自社での運用が必須です。専任の人員とセキュリティ対策に十分な予算を確保できる企業向けのWAFと言えるでしょう。
ソフトウェア型
ソフトウェア型はWebサーバーにインストールするタイプのWAFです。
専用機器の購入などが不要で、アプライアンス型に比べるとコストを抑えることが可能。
またネットワーク構成の見直しが不要で、導入期間を短縮できる点も魅力です。
ただし、Webサーバーごとの導入となるため、稼動数が多い場合には不向き。運用も自社で行う必要があります。
クラウド型
クラウド型は月額または年額契約で導入可能なタイプのWAFです。
機器の購入は不要で、導入時はDNSの設定変更のみ。自社での運用も必要ありません。
低コスト・短納期で導入でき、運用コストの軽減も図れることから、他のタイプからクラウド型へ切り替える企業も増えています。
ただし利用するサービスによって、他のタイプよりも性能が劣る場合がある点には注意が必要。メリットを享受するためには、十分な事前検討が欠かせません。
WAF製品の比較ポイント
次はいよいよ製品選びの際にチェックしておきたいポイントです。
WAFを導入するにあたって何よりも大切なことは、自社に合った製品を選ぶこと。
数あるサービスの中から最適な製品を選ぶためのポイントを確認しておきましょう。
1. 初期費用と運用コスト
導入にかかる費用は、導入時の初期費用だけに目を奪われないよう注意が必要です。
なぜなら、自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースもあるからです。
導入と運用のトータルでのコストを比較しましょう。
自社での運用が必要な場合は、人的コストも忘れてはいけません。人員の数はもちろん、どの程度運用業務に専念する必要があるのかによってもコストは変わります。
また、単純に安ければ良いというわけではなく、性能やサービスとのバランスを見ることも大切です。
2. 導入後の拡張性
製品の性能を比べる際には、拡張性も意識しておきましょう。
Webサイトやシステムなどは、将来的に規模が大きくなる可能性があります。
その際、拡張性がないとWAFの運用が弊害となる可能性すらあります。自社の状況に合った製品を選ぶことは大切ですが、現在だけでなく将来も見据えた比較検討が必要です。
3. サポート体制の充実度
どんな製品・サービスにも共通して言えることではありますが、比較の際には導入後のサポート体制も大切な指標にしておくことをおすすめします。
性能は同様に思えても、サポート内容はセキュリティベンダーによってさまざまだからです。
特にWAFは、防御体制を常に最新の状態にしておくことが必要です。
たとえば、攻撃パターンをもとに不正アクセスを検知するブラックリスト方式であれば、シグネチャの定期的な調整が必要です。
また、安全が確認されている対象以外を排除するホワイトリスト方式であれば、パラメータの細かい設定が必要になります。
これらをどこまでサポートしてくれるのか。またそれ自体にも費用がかかるのかなど、サポート体制についてもしっかりと比較しましょう。
4. 導入実績(導入数と企業)
WAFの製品選びでは、実績も重視したいポイントです。
導入実績が豊富ということは、それだけ多くの信頼を集めているという証。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えて良いはずです。
実績を比較する際は導入数はもちろん大切ですが、どのような企業に導入されているかも確認しておきましょう。そうすることで、自社との相性がわかりやすいかもしれません。
5. セキュリティレベルと用途のバランス
自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。
そもそもセキュリティが弱いの問題外ですが、場合によっては強すぎることが問題になることもあります。
正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があるからです。
そのため製品の比較検討は、どの程度のセキュリティレベルを求めるかを明確にしてから行う必要があります。
WAF製品を導入するコツ
自社に合ったWAFを選ぶには、次の2点が大切です。
- 最適なタイプを選ぶこと
- 比較のポイントを意識して製品選びをすること
そのためにはまず、自社の状況を把握することや、何に対してWAFの効果を期待しているのかなど、一度社内で整理しておくのが良いようです。そうすることで、より自社に合ったWAF選びができるのではないでしょうか。
WAFの必要性や、ファイアウォールなど他のセキュリティとの役割の違いなどについて詳しく知りたい方はこちらの記事をご覧ください。
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。
